ローカル パスワード管理者ソリューションを説明する
ドメインのメンバーである各コンピューターは、ローカルの管理者アカウントを保持します。 このアカウントは、最初にコンピューターを手動で配置するときに構成します。または、Microsoft Endpoint Configuration Manager などのソフトウェア配置ツールを使用するときに自動的に構成されます。 ローカル管理者アカウントを使用すると、ドメインへの接続を確立できない場合に、IT スタッフがコンピューターにサインインできます。
組織内のすべてのコンピューターのローカル管理者アカウントのパスワードを管理することは、非常に複雑になる可能性があります。 5,000 のコンピューターを持つ組織には、管理するための個別のローカル管理者アカウントが 5,000 あります。 多くの場合、組織はすべてのローカルの管理者アカウントに 1 つの共通のローカルの管理者アカウントパスワードを割り当てます。 このアプローチの欠点は、IT 運用チーム以外のユーザーがこのパスワードを解き明かし、そのパスワードを使用して、組織内のコンピューターに対して不正なローカル管理者アクセス権を取得することです。
ローカル管理者パスワード ソリューション (LAPS) は、ドメイン メンバー マシンの中央ローカル管理者パスワード リポジトリを組織に提供し、次のいくつかの機能を提供します。
ローカル管理者のパスワードは、LAPS が管理する各コンピューターで一意です。
LAPS では、ローカル管理者のパスワードが定期的にランダムに変更されます。
LAPS では、ローカル管理者のパスワードとシークレットが AD DS (Active Directory) に安全に格納されます。
構成可能なアクセス許可により、AD DS のパスワードへのアクセスを制御します。
LAPS が取得するパスワードは、セキュリティで保護された暗号化方式でクライアントに送信されます。
LAPS は、Microsoft の Web サイトからダウンロードできます。
前提条件
LAPS は、現在サポートされているすべての Windows サーバーとクライアントのオペレーティング システム バージョンでサポートされています。 LAPS を機能させるには、AD DS スキーマを更新する必要があります。 この更新を実行するには、LAPS をコンピューターにインストールするときに使用可能になっている Windows PowerShell モジュールに含まれている、Update-AdmPwdADSchema コマンドレットを実行します。
このコマンドレットを実行するユーザーは Schema Admins グループのメンバーである必要があります。このコマンドレットは、フォレストのスキーマ マスター FSMO ロールをホストしているコンピューターと同じ AD DS サイトにあるコンピューターで実行する必要があります。
配置後、グループ ポリシーのクライアント側拡張機能を使用して Active Directory 内で LAPS エージェントを構成します。 LAPS によって管理されるローカルの管理者パスワードを持つクライアント コンピューターでは、ダウンロード ファイルで MSI として用意されている LAPS クライアントをインストールする必要があります。
LAPS のしくみ
LAPS (ローカル管理者パスワード ソリューション) プロセスは、グループ ポリシーが更新されるたびに発生します。 グループポリシーの更新が発生すると、次の手順が実行されます。
LAPS により、ローカル管理者アカウントのパスワードの有効期限が切れているかどうかが判断されます。
パスワードの有効期限が切れていない場合、LAPS は何も行いません。
パスワードの有効期限が切れている場合、LAPS により次の手順が実行されます。
ローカル管理者のパスワードを、ローカルの管理者パスワードに対して構成されたパラメーターに基づいて、新しいランダムな値に変更します。
新しいパスワードが AD DS に転送され、ローカル管理者アカウントのパスワードが更新されたコンピューターのコンピューター アカウントに関連付けられた、特別な機密属性に保存されます。
新しいパスワードの有効期限が AD DS に転送され、ローカル管理者アカウントのパスワードが更新されたコンピューターのコンピューター アカウントに関連付けられた、特別な機密属性に保存されます。
認可されたユーザーは AD DS からパスワードを読み取ることができ、認可されたユーザーは特定のコンピューターでローカル管理者のパスワードの変更をトリガーできます。
LAPS を使用したパスワードの構成と管理
LAPS を使用してパスワードを構成および管理するには、いくつかの手順を実行する必要があります。 最初の一連の手順では、AD DS (Active Directory) の構成が関係します。 まず、LAPS を使用するコンピューターのコンピューター アカウントを OU (組織単位) に移動します。 コンピューター アカウントを OU に移動したら、Set-AdmPwdComputerSelfPermission コマンドレットを使用して、コンピューター アカウントに、有効期限が切れたときにコンピューターのローカル管理者アカウントのパスワードを更新する機能を割り当てます。
たとえば、シドニー OU 内の期限切れのパスワードを有するコンピューターで LAPS を使用してパスワードを更新できるようにするには、次のコマンドを使用します。
Set-AdmPwdComputerSelfPermission -Identity "Sydney"
既定では、Domain Admins グループと Enterprise Admins グループのメンバーであるアカウントは、保存されているパスワードにアクセスして検索できます。 Set-AdmPwdReadPasswordPermission コマンドレットを使用して、ローカル管理者パスワードを検索するためのグループを追加することができます。
たとえば、シドニー OU 内のコンピューターでローカル管理者パスワードを検索する機能を Sydney_ITOps グループに割り当てるには、次のコマンドを使用します。
Set-AdmPwdReadPasswordPermission -Identity "Sydney" -AllowedPrincipals "Sydney_ITOps"
次の手順では、LAPS インストーラーを実行して、AD DS にグループ ポリシー オブジェクト (GPO) テンプレートをインストールします。 テンプレートをインストールした後、次のポリシーを構成できます。
ローカル管理者のパスワード管理を有効にする。 このポリシーにより、LAPS が有効になり、ローカル管理者アカウントのパスワードを一元的に管理できるようになります。
パスワードの設定。 このポリシーを使用すると、ローカル管理者パスワードの複雑さ、長さ、および最大有効期間を構成できます。 既定のパスワードの要件は次のとおりです。
大文字と小文字
数字
特殊文字
14 文字のパスワードの長さ
30 日のパスワードの最大有効期間
パスワードの有効期限が必要以上に長くならないようにしてください。 有効にすると、ドメイン パスワードの有効期限ポリシーに従ってパスワードが更新されます。
管理する管理者アカウントの名前。 このポリシーを使用して、カスタム ローカル管理者アカウントを識別します。
次のいずれかの方法を使用して、コンピューターに割り当てられているパスワードを調べることができます。
Active Directory ユーザーとコンピューティング。 高度な機能を有効にして、コンピューターアカウントのプロパティを表示し、LAPS で管理されたコンピューター アカウントの AdmPwd 属性を確認します。
LAPS GUI アプリケーション。 このアプリケーションを使用すると、コンピューターのローカル管理者パスワードを取得できます。
Get-AdmPwdPassword コマンドレット。 AdmPwd.PS モジュールから、このコマンドレットを実行します。これは、LAPS をインストールしてコンピューターのローカル管理者パスワードを取得すると使用できます。